28.4.2007 |
FR |
Journal officiel de l'Union européenne |
C 97/21 |
Avis du Comité économique et social européen sur la «Communication de la Commission au Conseil, au Parlement européen, au Comité économique et social européen et au Comité des régions — Une stratégie pour une société de l'information sûre — Dialogue, partenariat et responsabilisation»
COM(2006) 251 final
(2007/C 97/09)
Le 31 mai 2006, la Commission a décidé, conformément à l'article 262 du traité instituant la Communauté européenne, de consulter le Comité économique et social européen sur la proposition susmentionnée.
La section spécialisée «Transports, énergie, infrastructures, société de l'information», chargée de préparer les travaux du Comité en la matière, a adopté son avis le 11 janvier 2007 (rapporteur: M. PEZZINI).
Lors de sa 433e session plénière des 15 et 16 février 2007 (séance du 16 février 2007) le Comité économique et social européen a adopté le présent avis par 132 voix pour et 2 abstentions.
1. Conclusions et recommandations
1.1 |
Le Comité est convaincu que le problème de la sécurité informatique représente une préoccupation croissante pour les entreprises, les administrations, les organismes publics et privés et les particuliers. |
1.2 |
Le Comité approuve d'une manière générale les analyses et les arguments invoqués en faveur de la mise en oeuvre d'une nouvelle stratégie destinée à augmenter la sécurité des réseaux et de l'information et à lutter contre les attaques et les intrusions opérées sans limites géographiques. |
1.3 |
Le Comité considère que la Commission devrait déployer davantage d'efforts pour mettre en oeuvre une stratégie innovante et structurée, compte tenu de l'ampleur du phénomène et de ses incidences dans le domaine économique et sur la vie privée. |
1.3.1 |
Le Comité souligne également que la Commission a récemment adopté une nouvelle communication sur la sécurité informatique et qu'un autre document sur ce même thème devrait être présenté prochainement. Le Comité se réserve le droit d'émettre ultérieurement un avis plus circonstancié tenant compte de l'ensemble de ces communications. |
1.4 |
Le Comité insiste sur le fait que la sécurité informatique ne peut en aucun cas être dissociée du renforcement de la protection des données personnelles et de la préservation des libertés, qui sont garanties par la Convention européenne des droits de l'homme. |
1.5 |
Le Comité se demande quelle est, en l'état actuel des choses, la valeur ajoutée de la proposition par rapport à l'approche intégrée adoptée en 2001, qui poursuivait un but similaire à celui indiqué dans la communication à l'examen (1). |
1.5.1 |
Le rapport d'analyse d'impact (2) annexé à la proposition contient quelques intéressantes mises à jour par rapport au texte de 2001, mais comme il a été publié dans une seule langue, il n'est pas accessible à de nombreux citoyens européens qui se forgent une opinion sur la base du document officiel publié dans les différentes langues communautaires. |
1.6 |
Le Comité rappelle les conclusions du sommet mondial de Tunis de 2005 sur la société de l'information, ratifiées par l'assemblée de l'ONU du 27 mars 2006, qui proposaient:
|
1.7 |
Le Comité soutient qu'une stratégie communautaire dynamique et intégrée devrait prévoir, en plus du dialogue, du partenariat et de la responsabilisation:
|
1.8 |
Le Comité estime enfin que pour assurer une stratégie communautaire dynamique et intégrée, il est nécessaire de prévoir des budgets appropriés, assortis d'initiatives et d'actions visant à renforcer la coordination au niveau communautaire, afin que l'Europe puisse s'exprimer d'une seule voix dans le contexte mondial. |
2. Motivation
2.1 |
La sécurité de la société de l'information constitue un enjeu fondamental en termes de confiance dans les réseaux et les services de communication et de fiabilité de ces derniers, qui sont des facteurs essentiels pour le développement de l'économie et de la société. |
2.2 |
Si l'on souhaite préserver les capacités compétitives et commerciales, garantir l'intégrité et la continuité des communications électroniques, prévenir les fraudes et assurer la protection légale de la vie privée, il est nécessaire de veiller à la protection des réseaux et des systèmes informatiques. |
2.3 |
Les communications électroniques et les services qui leur sont liés représentent le segment le plus large de l'ensemble du secteur des télécommunications: en 2004, environ 90 % des entreprises européennes ont utilisé activement Internet et 65 % d'entre elles ont créé leur propre site Internet, tandis que selon les estimations, la moitié environ de la population européenne utilise régulièrement Internet et 25 % des familles utilisent en permanence la large bande d'accès (5). |
2.4 |
Au regard du développement accéléré des investissements, le volume des dépenses consacrées à la sécurité ne représente que sur 5 à 13 % du total des investissements dans les technologies de l'information. Ces pourcentages sont trop faibles. Des études récentes ont montré que «sur une moyenne de 30 protocoles partageant les mêmes structures clés, 23 sont vulnérables à des attaques multiprotocole» (6). En outre, on évalue à 25 millions en moyenne les pourriels (spam) transmis quotidiennement. Aussi le Comité se félicite-t-il de la proposition récemment présentée par la Commission en la matière. |
2.5 |
S'agissant des virus informatiques (7), la diffusion rapide et sur une large échelle de «vers informatiques »(«worms») (8) et de logiciels espions (9) («spyware») (10) est allée de pair avec le développement croissant des systèmes et des réseaux de communication électronique, qui sont devenus de plus en plus complexes et dans le même temps de plus en plus vulnérables, notamment en raison de la convergence du multimédia, de la téléphonie mobile et des systèmes GRID infoware (11): les extorsions pratiquées au moyen de DDoS («Distributed Denial of Service», déni de service distribué), l'usurpation d'identité en ligne, l'hameçonnage («phishing») (12), le piratage (13), etc., représentent pour la sécurité de la société de l'information des défis auxquels la Communauté européenne s'est efforcée d'apporter une réponse dans une communication de 2001 (14) — sur laquelle le Comité a pu se prononcer — en proposant trois axes d'intervention:
|
2.6 |
Le relevé des attaques informatiques, leur identification et leur prévention dans le cadre d'un système en réseau constituent un défi en termes de recherche de solutions appropriées, étant donné les changements continuels de configuration, la diversité des protocoles réseau et des services offerts et développés et l'extrême complexité des modes d'attaque asynchrone (15). |
2.7 |
Toutefois, la faible visibilité du retour sur investissement dans le domaine de la sécurité et le manque de responsabilisation des citoyens utilisateurs ont malheureusement conduit à sous-estimer les risques et à relâcher les efforts quant au développement d'une culture de la sécurité. |
3. La proposition de la Commission
3.1 |
Avec sa communication sur une Stratégie pour une société de l'information sûre (16), la Commission souhaite améliorer la sécurité informatique en concevant une stratégie dynamique et intégrée fondée sur:
|
3.2 |
La communication prévoit en outre, par le biais d'un cadre approprié pour la collecte de données concernant les violations de la sécurité, le niveau de confiance des utilisateurs et les développements de l'industrie de la sécurité, l'instauration par l'ENISA d'un partenariat de confiance:
grâce à la création d'un portail européen multilingue d'information et d'alerte, pour un partenariat stratégique entre le secteur privé, les États membres et les chercheurs. |
3.2.1 |
La communication prévoit par ailleurs une responsabilisation accrue des parties prenantes quant aux besoins et aux risques en matière de sécurité. |
3.2.2 |
Pour ce qui est de la coopération internationale et avec les pays tiers, «la dimension mondiale de la sécurité des réseaux et de l'information place la Commission devant le défi, au niveau international et en coordination avec les États membres, d'augmenter ses efforts pour promouvoir la coopération globale en matière de SRI» (17). Cette affirmation n'est toutefois pas reprise dans les actions de dialogue, de partenariat et de responsabilisation. |
4. Observations
4.1 |
Le Comité marque son accord avec les analyses et les considérations justifiant une stratégie européenne intégrée et dynamique pour la sécurité des réseaux et de l'information. Il estime que la question de la sécurité est essentielle si l'on souhaite promouvoir une attitude plus favorable à la mise en œuvre des technologies de l'information (TI) et améliorer la confiance dans ces dernières. La position du CESE a été exposée dans de nombreux avis (18). |
4.1.1 |
Le Comité réaffirme une fois encore (19) que «le réseau Internet et les nouvelles technologies de communication en ligne (par exemple les téléphones mobiles ou les organiseurs de poche connectables à fonctions multimédia, en pleine expansion), constituent des instruments fondamentaux pour le développement de l'économie de la connaissance, de la e-économie et de la e-administration». |
4.2 Pour l'adoption par la Commission de propositions plus énergiques
4.2.1 |
Le Comité juge néanmoins que l'approche proposée par la Commission, qui consiste à fonder cette stratégie intégrée et dynamique sur un dialogue ouvert et inclusif, ainsi qu'un partenariat et une responsabilisation renforcés avec toutes les parties prenantes, en particulier les utilisateurs, peut être encore élargie. |
4.2.2 |
Cette position a été mise en avant dans de précédents avis: «cette lutte doit concerner directement, pour être efficace, tous les usagers de l'Internet, qui doivent être formés et informés des précautions à prendre et des moyens à utiliser pour se prémunir contre la réception de tels contenus dangereux ou non souhaitables ou pour ne pas être utilisés comme relais de tels contenus. La partie information et formation du plan d'action doit, selon le Comité, accorder une haute priorité à la mobilisation des usagers (20)». |
4.2.3 |
Selon le Comité, la participation des utilisateurs et des citoyens doit toutefois s'effectuer de manière à concilier la nécessaire protection de l'information et des réseaux avec les libertés individuelles et le droit des utilisateurs à des accès sûrs et à un coût modéré. |
4.2.4 |
Il y a lieu de considérer que la recherche de sécurité informatique représente un coût pour le consommateur, notamment en termes de temps consacré à supprimer et à contourner les obstacles. Le Comité estime qu'il faudrait imposer l'installation systématique de systèmes de protection antivirus sur tous les ordinateurs, systèmes que l'utilisateur pourrait ou non activer, mais qui seraient présents «dès l'origine »sur le produit. |
4.3 Pour une stratégie communautaire plus dynamique et innovante
4.3.1 |
Indépendamment de ces mesures, l'Union devrait selon le Comité se fixer des objectifs plus ambitieux et lancer une stratégie innovante, intégrée et dynamique fondée sur de nouvelles initiatives, telles que:
|
4.3.2 |
Le Comité estime qu'il serait opportun de créer un point de contact «Sécurité des TIC »inter-DG (22). Ce point de contact permettrait d'intervenir:
|
4.4 Pour un renforcement des actions de l'UE en matière de coordination responsable
4.4.1 |
Le Comité attache également beaucoup d'importance à la création d'un réseau européen pour la sécurité des réseaux et de l'information permettant de financer des enquêtes, des études et des ateliers sur les mécanismes de sécurité et sur leur interopérabilité, sur la cryptographie avancée et sur la protection de la vie privée. |
4.4.2 |
Le Comité estime qu'il conviendrait, pour un secteur aussi sensible, d'optimiser le rôle de la recherche européenne en procédant à une utile synthèse des contenus:
|
4.4.3 |
L'on pourrait ajouter à ces propositions l'instauration d'une «Journée européenne de la sécurité informatique »soutenue par des campagnes nationales d'éducation dans les écoles et des campagnes d'information s'adressant aux utilisateurs et concernant les procédures informatiques de protection des informations, sans compter bien sûr les informations relatives aux avancées technologiques réalisées dans le domaine vaste et évolutif des ordinateurs. |
4.4.4 |
Le Comité a souligné à différentes reprises que «la rapidité avec laquelle les entreprises sont disposées à introduire les TIC dans leurs activités commerciales dépend de la conception que l'on a de la sécurité des transactions en ligne et du sentiment de confiance à leur égard. Le degré de confiance des consommateurs détermine largement leur volonté à indiquer leur numéro de carte de crédit sur un site Internet» (25). |
4.4.5 |
Le Comité est convaincu qu'étant donné l'énorme potentiel de croissance du secteur, il y a lieu de mettre en œuvre des politiques spécifiques et d'adapter les politiques actuelles aux nouveaux développements. Il est nécessaire de relier dans le cadre d'une stratégie intégrée les initiatives européennes en matière de sécurité informatique en abolissant les frontières intersectorielles et en garantissant une diffusion homogène et sûre des TIC dans la société. |
4.4.6 |
D'après le Comité, d'importantes stratégies, comme celle à l'examen, progressent avec une lenteur excessive en raison des difficultés bureaucratiques et culturelles opposées par les États membres aux indispensables décisions qui doivent être prises au niveau communautaire. |
4.4.7 |
Le Comité considère également que les ressources communautaires sont insuffisantes pour mettre en train les multiples projets prioritaires qui sont susceptibles d'apporter des réponses concrètes aux nouveaux problèmes de la mondialisation, à condition d'être menés à bien à l'échelon communautaire. |
4.5 Pour des garanties communautaires accrues en termes de protection du consommateur
4.5.1 |
Le Comité est conscient du fait que les États membres ont mis au point des mesures technologiques de sécurité et des procédures de gestion de la sécurité adaptées à leurs besoins propres et qu'ils ne font pas porter leurs efforts sur les mêmes aspects. C'est également l'une des raisons pour lesquelles il est difficile d'apporter une réponse univoque et efficace aux problèmes de sécurité. À l'exception de certains réseaux administratifs, il n'existe pas de coopération transfrontalière systématique entre les États membres, alors que les questions de sécurité ne peuvent être traitées séparément par les différents pays. |
4.5.2 |
Le Comité observe par ailleurs que le Conseil, par décision-cadre 2005/222/JAI, a lancé un cadre de coopération entre les autorités judiciaires et les autres autorités compétentes afin de garantir, moyennant un rapprochement des règles pénales nationales réprimant les attaques contre les systèmes d'information, une approche cohérente des États membres en ce qui concerne:
|
4.5.3 |
La décision-cadre précise également les critères permettant d'établir la responsabilité des personnes morales et les éventuelles sanctions à appliquer lorsque leur responsabilité est avérée. |
4.5.4 |
S'agissant du dialogue avec les pouvoirs publics des États membres, le Comité soutient la proposition de la Commission concernant la réalisation par ces pouvoirs d'une évaluation comparative des politiques nationales relatives à la sécurité des réseaux et des systèmes d'information, y compris celles concernant spécifiquement le secteur public. Cette proposition figurait déjà dans un avis du CESE de 2001 (26). |
4.6 Pour une généralisation de la culture de la sécurité
4.6.1 |
En ce qui concerne l'implication de l'industrie de la sécurité informatique, celle-ci doit véritablement garantir, afin de protéger le droit à la protection de la vie privée et à la confidentialité de ses clients, l'utilisation de systèmes de surveillance matérielle de ses installations et le cryptage des communications, en fonction de l'état d'avancement des techniques (27). |
4.6.2 |
Pour ce qui est de l'action de sensibilisation, le Comité juge fondamental de créer une véritable «culture de la sécurité »qui soit pleinement compatible avec la liberté d'information, de communication et d'expression. Par ailleurs, de nombreux utilisateurs ne sont pas conscients de tous les risques liés à la piraterie informatique, tandis que bon nombre d'opérateurs, de vendeurs ou de fournisseurs de services ne parviennent pas à évaluer si le système comporte des points faibles et quelle est leur ampleur. |
4.6.3 |
Si la protection de la vie privée et des données personnelles sont des objectifs prioritaires, les consommateurs ont également le droit d'être protégés de manière réellement efficace contre le profilage nominatif abusif par «espiogiciels »(spyware et web bugs) ou par d'autres moyens. La pratique du spamming (28) (envois massifs de messages non sollicités) qui découle souvent de ces abus devrait aussi être freinée. Ces intrusions ont un coût pour les victimes (29). |
4.7 Pour une agence européenne plus forte et plus active
4.7.1 |
Le Comité est favorable à ce que le rôle de l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) soit renforcé et rendu plus incisif en ce qui concerne les actions de sensibilisation mais aussi et surtout les actions d'information et de formation des opérateurs et des utilisateurs, comme il l'a d'ailleurs déjà indiqué dans un récent avis (30) relatif à la fourniture de services de communications électroniques accessibles au public. |
4.7.2 |
S'agissant enfin des actions prévues pour la responsabilisation de chaque groupe de parties prenantes, elles semblent relever d'une stricte observation du principe de subsidiarité. En effet, c'est aux États membres et au secteur privé qu'il incombe de les mettre en œuvre, en fonction de leurs responsabilités spécifiques. |
4.7.3 |
L'ENISA devrait pouvoir bénéficier des contributions du réseau européen pour la sécurité des réseaux et de l'information («European Network and Information Security network») pour l'organisation d'activités conjointes, ainsi que du site internet communautaire plurilingue d'alerte informatique, pour la fourniture d'informations personnalisées et interactives, libellées dans un langage clair, notamment à l'intention des particuliers de tous âges et des petites et moyennes entreprises. |
Bruxelles, le 16 février 2007.
Le Président
du Comité économique et social européen
Dimitris DIMITRIADIS
(1) Cf. avis CESE sur la «Communication de la Commission au Conseil, au Parlement européen, au Comité économique et social et au Comité des régions sur la sécurité des réseaux et de l'information: proposition pour une approche européenne», JO C 48 du 21.2.2002, p. 33.
(2) Un «rapport d'impact »n'a pas la même signification qu'un «document de stratégie».
(3) ONU 27.3.2006. Recommandations no 57 et 58. Document final de Tunis no 15.
(4) Cf. «Emerging technologies in the context of security», CCR — Institut de la protection et de la sécurité des citoyens, cahier de recherche stratégique, septembre 2005, Commission européenne,
http://serac.jrc.it.
(5) i2010: a strategy for a secure information society — Factsheet 8 (June 2006), EC Information Society and Media
http://ec.europa.eu/information_society/doc/factsheets/001-dg-glance-en.pdf.
(6) Proceedings of the First International Conference on Availability, Reliability and Security (ARES'06) — Volume 00 ARES 2006 — IEEE Computer Society.
(7) Spam = communications commerciales non sollicitées. À l'origine, spam signifie «spiced pork and ham»(porc épicé et jambon), viande en conserve très populaire durant la deuxième guerre mondiale lorsqu'elle devint la principale source d'alimentation des troupes américaines ainsi que de la population du Royaume-Uni. Après des années de ce régime, le spam n'étant pas rationné, les gens ont fini par en être écœurés.
(8) Virus informatique: type particulier de logiciel appartenant à la catégorie des «logiciels malveillants »et qui est en mesure, une fois activé, d'infecter des fichiers afin de se reproduire par duplication, généralement sans être détecté par l'utilisateur. Les virus peuvent être plus ou moins nocifs pour le système d'exploitation hôte, mais même dans un cas optimal, ils comportent un certain gaspillage de ressources en termes de RAM, de CPU et d'espace sur le disque dur
(www.wikipedia.org/wiki/Virus_informatique).
(9) Ver = logiciel malveillant capable de s'auto-reproduire: un ver de messagerie est une attaque perturbatrice du réseau qui recueille toutes les adresses électroniques de la messagerie du client (par exemple MS Outlook) puis envoie des centaines de courriers électroniques à ces adresses avec le programme virus de type «ver »en attachement.
(10) Logiciels espions = logiciels enregistrant l'activité d'un utilisateur et qui s'installent automatiquement sans que l'utilisateur en soit informé ni conscient et sans son consentement ni son contrôle.
(11) GRID infoware = permet le partage, la sélection et le regroupement d'une large gamme de ressources informatiques délocalisées (telles que supercalculateurs, «compute clusters», systèmes de stockage, sources de données, instruments, ressources humaines) et les regroupe en une ressource unifiée et unique capable d'effectuer des calculs très compliqués et de faire tourner des applications informatiques très gourmandes en données.
(12) Hameçonnage («phishing») = en informatique, on appelle hameçonnage une technique de cracking utilisée pour avoir accès à des informations personnelles et confidentielles en vue d'une usurpation d'identité et consistant en l'envoi de courriels factices conçus de manière à présenter une apparence d'authenticité.
(13) Piratage («piracy») = terme utilisé par les «pirates »informatiques pour décrire les logiciels dont le dispositif anti-copie a été désactivé et qui peuvent être téléchargés sur Internet.
(14) COM (2001) 298 final.
(15) Multivariate Statistical Analysis for Network Attacks Detection.Guangzhi Qu, Salim Hariri*- 2005 US, Arizona
Internet Technology Laboratory, ECE Department, The University of Arizona, http://www.ece.arizona.edu/~hpdc
Mazin Yousif, Intel Corporation, USA.- Work Travail bénéficiant d'un soutien financier de l'Intel Corporation IT R&D Council.
(16) COM (2006) 251 final du 31.5.2006.
(17) Cf. COM(2006) 251, point 3, avant-dernier alinéa.
(18) Cf. les documents suivants:
— |
avis du CESE sur la «Proposition de directive du Parlement européen et du Conseil sur la conservation de données traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public, et modifiant la directive 2002/58/CE», JO C 69 du 21.3.2006, p. 16; |
— |
avis du CESE sur la «Communication de la Commission au Conseil, au Parlement européen, au Comité économique et social européen et au Comité des régions — i2010 — Une société de l'information pour la croissance et l'emploi», JO C 110 du 9.5.2006, p. 83; |
— |
avis du CESE sur la «Proposition de décision du Parlement européen et du Conseil instituant un programme communautaire pluriannuel visant à promouvoir une utilisation plus sûre de l'Internet et des nouvelles technologies en ligne», JO C 157 du 28.6.2005, p. 136; |
— |
avis du CESE sur la «Communication de la Commission au Conseil, au Parlement européen, au Comité économique et social et au Comité des régions — Sécurité des réseaux et de l'information: Proposition pour une approche politique européenne», JO C 48 du 21.2.2002, p. 33. |
(19) V. NbP no 19, 3e tiret.
(20) V. NbP no 19, 3e tiret.
(21) ETSI (Institut européen des normes de télécommunication), cf. notamment l'atelier des 16 et 17 janvier 2006. L'ETSI a élaboré entre autres des spécifications sur les interceptions illégales (TS 102 232; 102 233; 102 234), sur les accès internet Lan Wireless (TR 102 519) et sur les signatures électroniques, et a développé des algorithmes de sécurité pour GSM, GPRS et UMTS.
(22) Ce point de contact inter-DG pourrait être financé dans le cadre des priorités TSI du programme spécifique de coopération du 7ème PC de RDT ou du programme européen de recherche sur la sécurité PERS.
(23) Cf. 7ème PC — Programme-cadre CE de RDT&D, programme spécifique «Coopération»; priorité thématique Sécurité, dotée d'un budget de 1,35 milliard d'euros pour la période 2007-2013.
(24) COM (2005) 576 du 17.11.2005.
(25) V. NbP no 19, 2e tiret.
(26) V. NbP no 19, 4e tiret.
(27) Cf. directive 97/66/CE concernant le traitement des données à caractère personnel dans le secteur des télécommunications (JO L 24/1998).
(28) «Pollupostage», en français.
(29) Cf. avis CESE sur les «Réseaux de communications électroniques »(JO C 123 du 25.4.2001, p. 50), sur le «commerce électronique »(JO C 169 du 16.6.1999, p. 36) et sur les «Incidences du commerce électronique sur le marché unique »(JO C 123 du 25.4.2001, p. 1).
(30) V. NbP no 19, 1er tiret.